LINUX:Postfix-Configuration du serveur de messagerie centrale
→ Postfix et Dovecot-Configuration de gestion
But
Cet article traite de la configuration du serveur de messagerie Postfix qui va centraliser les messages de tous les autres serveurs dans son PostOffice. Dans le schéma, c'est ma machine A qui est concernée.
Rappelons que le but est de rassembler les messages de gestion locaux et ceux des machines de notre réseau. Il n'a pas pour objectif d'envoyer des messages vers un autre prestataire d'Internet ni entre utilisateurs de notre famille ou entreprise. De même comme nous travaillons en interne, en vase clos et pas soucis de simplification, nous n'utiliserons pas de cryptage.
Si vous n'avez pas de serveur DNS local, il faut déclarer les serveurs locaux dans le fichier "/etc/hosts".
Par exemple:
192.168.1.100 server1.home.dom mail.home.dom home.dom 192.168.1.110 server2.externe.dom
Fichiers de configuration
Comme vu précédemment, les fichiers de configuration de Postfix se trouvent dans le répertoire "/etc/postfix". Nous n'utiliserons que trois fichiers strictement nécessaires:
- main.cf : contenant les paramètres généraux de Postfix
- master.cf : contenant la liste des programmes intervenant dans le fonctionnement de Postfix
Le fichier "/etc/aliases" qui intervient dans "main.cf", sera traité en fin d'article.
Configuration du fichier "main.cf"
Après nettoyage du fichier "/etc/postfix/main.cf", on garde la partie suivante:
compatibility_level = 3.9
queue_directory = /var/spool/postfix
command_directory = /usr/bin
daemon_directory = /usr/libexec/postfix
data_directory = /var/lib/postfix
mail_owner = postfix
unknown_local_recipient_reject_code = 550
debugger_command =
PATH=/bin:/usr/bin:/usr/local/bin:/usr/X11R6/bin
ddd $daemon_directory/$process_name $process_id & sleep 5
sendmail_path = /usr/sbin/sendmail.postfix
newaliases_path = /usr/bin/newaliases.postfix
mailq_path = /usr/bin/mailq.postfix
setgid_group = postdrop
#html_directory = no
meta_directory = /etc/postfix
shlib_directory = /usr/lib64/postfix
mail_spool_directory = /var/spool/mail
#sample_directory = /usr/share/doc/postfix/samples
#manpage_directory = /usr/share/man
#readme_directory = /usr/share/doc/postfix/README_FILES
debug_peer_level = 2
alias_maps = hash:/etc/aliases
alias_database = hash:/etc/aliases
Les lignes suivante sont modifiées ou ajoutées.
inet_protocols = ipv4 mynetworks = 127.0.0.1 192.168.1.0/24 inet_interfaces = all myorigin = home.dom mydestination = home.dom home_mailbox = Maildir/ smtpd_tls_cert_file = /etc/pki/home/certs/mail.home.chaine.pem smtpd_tls_key_file = /etc/pki/home/private/home.key
Explications:
- inet_interfaces : permet d'accepter les messages venant de tous les interfaces réseaux (ici: 192.168.1.110).
- mynetworks : accepte les connexions de la machine locale et du réseau local.
- inet_protocols : est aussi optionnel. Elle permet de se limiter à IPV4.
- myorigin et mydestination : spécifie que la partie domaine d'une adresse mail est "home.dom", par exemple "pdupont@home.dom".
- home_mailbox : défini le format de stockage des messages et l'endroit. Il existe deux format supportés par Postfix et Dovecot. Nous avons choisi le format "Maildir" par facilité d'utilisation. Celui-ci les placent dans le répertoire "Maildir" dans l'espace disque de chaque utilisateur concerné. Chaque message sera rangé dans son fichier propre, ce qui facilite le nettoyage manuel éventuel ou la consultation hors client de messagerie, en mode texte. L'autre format "Mbox" les globalise en un seul fichier.
- les deux dernières définissent les clé et certificat pour l'accès SSL.
Configuration du fichier "master.cf"
Après un léger nettoyage, nous gardons le contenu suivant:
# ========================================================================== # service type private unpriv chroot wakeup maxproc command + args # (yes) (yes) (no) (never) (100) # ========================================================================== pickup unix n - n 60 1 pickup cleanup unix n - n - 0 cleanup qmgr unix n - n 300 1 qmgr tlsmgr unix - - n 1000? 1 tlsmgr rewrite unix - - n - - trivial-rewrite bounce unix - - n - 0 bounce defer unix - - n - 0 bounce trace unix - - n - 0 bounce verify unix - - n - 1 verify flush unix n - n 1000? 0 flush proxymap unix - - n - - proxymap proxywrite unix - - n - 1 proxymap #smtp unix - - n - - smtp #relay unix - - n - - smtp # -o syslog_name=postfix/$service_name showq unix n - n - - showq error unix - - n - - error retry unix - - n - - error discard unix - - n - - discard local unix - n n - - local #virtual unix - n n - - virtual lmtp unix - - n - - lmtp anvil unix - - n - 1 anvil scache unix - - n - 1 scache postlog unix-dgram n - n - 1 postlogd
On désactive les services "smtp", "relay" et "virtual", non nécessaires. Car nous n'utiliserons pas de serveur intermédiaire pour envoyer le message ni envoyer des messages. Et nous n'hébergeons pas de domaines virtuels, seul le domaine correspondant au nom de la machine est actif.
Par contre, on ajoute les trois services suivants:
# SMTP - port 25 - sans cryptage - NoLogin smtp inet n - n - - smtpd # cryptage -o smtpd_tls_security_level=may -o smtpd_tls_auth_only=no -o smtpd_tls_wrappermode=no -o smtpd_tls_loglevel=2 # submission - STARTTLS - port 587 - LOGIN ou PLAIN submission inet n - n - - smtpd # cryptage -o smtpd_tls_security_level=may -o smtpd_tls_auth_only=no -o smtpd_tls_wrappermode=no -o smtpd_tls_loglevel=2 # authentification -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_security_options=noanonymous -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth # restriction - authentification obligatoire -o smtpd_client_restrictions=permit_sasl_authenticated,reject # smtps - SSL/TLS activé - port 465 - LOGIN smtps inet n - n - - smtpd # cryptage -o smtpd_tls_security_level=encrypt -o smtpd_tls_wrappermode=yes -o smtpd_tls_loglevel=2 # authentification -o smtpd_sasl_auth_enable=yes -o smtpd_sasl_security_options=noanonymous -o smtpd_sasl_type=dovecot -o smtpd_sasl_path=private/auth # restriction - authentification obligatoire -o smtpd_client_restrictions=permit_sasl_authenticated,reject
- Le premier: le service à l'écoute "SMTP" sur le port 25 de type STARTTLS qui est destiné à recevoir les messages des serveurs latéraux. Il propose une réception en claire ou cryptée SSL/TLS de préférence. Il n'y a pas d'authentification.
- Le second: le service à l'écoute "Submission" sur le port 587 de type STARTTLS qui va recevoir les messages des PC clients du réseau local. Il propose une réception en claire ou cryptée SSL/TLS de préférence. Il nécessite une authentification gérée par Dovecot que nous verrons à l'article suivant.
- Le troisième: le service à l'écoute "SMTPS" sur le port 465 de type SSL/TLS qui va recevoir les messages des PC clients du réseau local. Il propose une réception cryptée SSL/TLS obligatoire. Il nécessite une authentification gérée par Dovecot que nous verrons à l'article suivant.
La commande suivante permet de vérifier les ports à l'écoute:
netstat -ntpl | grep master
Elle donne:
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN 1223422/master tcp 0 0 0.0.0.0:465 0.0.0.0:* LISTEN 1223422/master tcp 0 0 0.0.0.0:587 0.0.0.0:* LISTEN 1223422/master
On vérifie par la même occasion que l'écoute se fait sur tous les interfaces ("0 0.0.0.0"). "master" est le processus de démarrage de Postfix. Pour information, le chiffre "1223422" est le "PID" du processus "master", il change aléatoirement à chaque démarrage de Postfix.
Remarques
Comme vu lors de la présentation de Postfix, dès que la configuration est terminée, il faut activer Postfix si ce n'est pas fait:
systemctl enable postfix
et relancer le service:
systemctl restart postfix
De même dans le Firewall "iptables", il faut ouvrir en entrée les trois ports à l'écoute aux machines locales dont les messages doivent être centralisés. Ceci se fait dans le fichier "/etc/sysconfig/iptables":
-A INPUT -p tcp -m tcp --dport 25 -s 192.168.1.110 -m conntrack --ctstate NEW -j ACCEPT #-A INPUT -p tcp -m tcp --dport 25 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp -m tcp --dport 587 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT -A INPUT -p tcp -m tcp --dport 465 -s 192.168.1.0/24 -m conntrack --ctstate NEW -j ACCEPT
Le port 25 est restreint au serveur latéral 192.169.1.110 mais en décommettant la ligne qui suit, on ouvre ce port à tout le réseau local. Mais ce port ne supporte pas l'authentification.
Vérification
A titre de vérification, nous envoyons un message à l'utilisateur "root" en ligne de commande directement sur cette machine hébergeant ce serveur:
mail root
Interactivement on nous demande de remplir le sujet:
Essai
et ensuite le corps du message clôturé par une ligne ne comportant qu'un point:
Essai de message .
Dans le répertoire racine de l'utilisateur "root", "/root" le répertoire "Maildir" est créé. A l'intérieur le sous-répertoire "new" contient un nouveau fichier contenant notre message. Si on visionne son contenu, on y remarque l'adresse mail du destinataire: "root@home.dom" selon notre schéma.
Utilisateur centralisateur
Selon la configuration de Dovecot qui suivra, pour relever ces messages, il nous faudra le mot de passe de la boîte mail. Il ne faut donc pas centraliser les messages dans celle de l'utilisateur "root". Ce serait un immense trou de sécurité.
Nous allons donc créer un autre utilisateur nommé dans l'exemple "pdupont" à adapter selon votre convenance. En ligne de commande nous lançons:
adduser pdupont -g users -s /sbin/nologin
Nous le lions au groupe "users" et nous désactivons la possibilité la possibilité qu'il ouvre une session sur le serveur.
L'espace disque de cet utilisateur est créé par défaut dans le répertoire "/home/pdupont".
Cet utilisateur sera ajouté au fichier "/etc/passwd".
Ensuite il faut définir un mot de passe crypté avec la commande suivante:
passwd pdupont
Il vous sera demandé le mot de passe et sa confirmation. Il sera ajouté au fichier "/etc/shadow"
Configuration du fichier "aliases"
Maintenant que notre utilisateur centralisateur est défini, il faut rediriger les messages vers celui-ci. On ajoute une ligne au fichier "/etc/aliases":
root: pdupont
Dans ce cas, tous les messages arrivants ou redirigés vers l'utilisateur "root" seront redirigés vers l'utilisateur "pdupont". Faites de même pour tout autre utilisateur concerné par la réception de messages.
Il faut activer cette modification en "compilant" ce fichier par la commande:
newaliases
ou plus simplement en redémarrant le service Postfix:
systemctl restart postfix
On peut refaire le test d'envoi de message à l'utilisateur "root" comme ci-dessus; maintenant le message sera à chercher dans le répertoire "/home/pdupont/Maildir/new".
→ Postfix et Dovecot-Configuration de gestion